情報セキュリティマネジメント試験「セキュリティ基礎・脅威・脆弱性」の一問一答
📖 情報セキュリティマネジメント試験「セキュリティ基礎・脅威・脆弱性」の全75問と解説(一覧)
情報セキュリティマネジメント試験のセキュリティ基礎・脅威・脆弱性に関する一問一答(全75問)の正解と解説の一覧です。上の一問一答で実際に解いてから、ここで復習・確認できます。
-
問1.情報セキュリティの3要素(CIA)は機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)である。
正解:○(正しい)
解説:CIAはセキュリティの基本3要素。許可された者のみアクセス(C)、改ざんされない(I)、必要時に利用可能(A)を意味する。
-
問2.完全性(Integrity)とは情報や処理が改ざん・破壊されず正確かつ完全な状態に保たれる性質である。
正解:○(正しい)
解説:改ざん検知(ハッシュ・デジタル署名)等で完全性を担保する。
-
問3.可用性(Availability)とは認可された者が必要時に情報・システムにアクセスできる性質である。
正解:○(正しい)
解説:冗長化・バックアップ・DDoS対策等で可用性を確保する。
-
問4.機密性(Confidentiality)とは認可された者だけが情報にアクセスできる性質である。
正解:○(正しい)
解説:アクセス制御・暗号化等で機密性を担保する。
-
問5.真正性(Authenticity)とは主体(利用者・データ)が主張する者・もので確かにあることを確認できる性質である。
正解:○(正しい)
解説:電子署名・MFA等で真正性を担保する。CIA3要素を拡張した7要素の一つ。
-
問6.責任追跡性(Accountability)とは利用者の行為を後から追跡・特定できる性質である。
正解:○(正しい)
解説:操作ログ・監査証跡で責任追跡性を確保する。
-
問7.否認防止(Non-repudiation)とは事象や行為が後から否認されないことを保証する性質である。
正解:○(正しい)
解説:電子署名・タイムスタンプで否認防止を実現する。
-
問8.信頼性(Reliability)とは意図した結果と一貫した動作・処理が得られる性質である。
正解:○(正しい)
解説:信頼性は意図した動作・処理の一貫性を担保する性質。テスト・冗長設計・障害監視等で実現する。CIA3要素を拡張した7要素の一つで、可用性とは異なり『期待通りに正しく動く』ことを保証する。
-
問9.コンピュータウイルスは他のプログラムに寄生して自己複製する機能を持つマルウェアである。
正解:○(正しい)
解説:宿主プログラムを必要とする点でワームと区別される。
-
問10.ワームは独立して動作し、自己複製しながらネットワーク経由で感染を拡大するマルウェアである。
正解:○(正しい)
解説:宿主を必要とせず単独で活動する点がウイルスと異なる。
-
問11.トロイの木馬は正常なソフトウェアに偽装してインストールされ、内部で悪意ある動作を行うマルウェアである。
正解:○(正しい)
解説:自己複製機能はないが、バックドア設置等の被害が大きい。
-
問12.ランサムウェアは感染端末のファイルを暗号化し、復号鍵と引換に身代金を要求するマルウェアである。
正解:○(正しい)
解説:近年は二重恐喝(暴露脅迫)型も増加している。
-
問13.スパイウェアは利用者に気付かれないように情報を収集・送信するマルウェアである。
正解:○(正しい)
解説:ブラウザ履歴・入力情報・キー操作等を窃取する。
-
問14.キーロガーはキーボード入力を記録して攻撃者に送信するマルウェアの一種である。
正解:○(正しい)
解説:ID・パスワード・クレジットカード番号等の窃取に使われる。
-
問15.ボットネットは攻撃者が遠隔制御できる多数の感染端末(ボット)から構成されるネットワークである。
正解:○(正しい)
解説:DDoS・スパム・暗号資産マイニング等に悪用される。
-
問16.RAT(Remote Access Trojan)は感染端末を攻撃者が遠隔操作するためのバックドア型マルウェアである。
正解:○(正しい)
解説:標的型攻撃で侵入後の継続的支配に使われる。
-
問17.SQLインジェクションはWebアプリの入力欄に不正なSQL文を埋め込んでDBを不正操作する攻撃である。
正解:○(正しい)
解説:対策はプレースホルダ(バインド機構)の利用。文字列連結で組み立てない。
-
問18.XSS(クロスサイトスクリプティング)はWebページに悪意あるスクリプトを埋め込み他ユーザのブラウザで実行させる攻撃である。
正解:○(正しい)
解説:対策は出力時の適切なエスケープ・CSP適用。
-
問19.CSRF(クロスサイトリクエストフォージェリ)はログイン中ユーザのブラウザから意図しないリクエストを送信させる攻撃である。
正解:○(正しい)
解説:CSRFは認証済みユーザのブラウザを悪用し、本人の意図しない操作(送金・退会等)を実行させる攻撃。対策は『CSRFトークン(使い捨ての秘密値)をフォームに含めて検証する』『SameSite Cookieの利用』『Referer/Originヘッダの検証』等。
-
問20.DoS攻撃は単一または少数の攻撃元から大量のリクエストを送り、サービスを停止させる攻撃である。
正解:○(正しい)
解説:DDoSは分散版で、多数の感染端末(ボット)から実行される。
-
問21.DDoS攻撃は分散した多数の攻撃元から同時に大量のトラフィックを標的に送りサービスを妨害する攻撃である。
正解:○(正しい)
解説:DDoSは多数の感染端末(ボットネット)から大量トラフィックを送り、標的のサービスを停止させる攻撃。リフレクション攻撃やアンプリフィケーション攻撃も併用される。対策はWAF・CDN・帯域制限・CDN事業者のDDoS保護等。
-
問22.中間者攻撃(MITM)は通信の当事者間に攻撃者が割り込んで盗聴や改ざんを行う攻撃である。
正解:○(正しい)
解説:TLS通信暗号化と証明書検証で対策する。
-
問23.標的型攻撃は特定の組織や個人を狙って機密情報の窃取等を目的とした執拗なサイバー攻撃である。
正解:○(正しい)
解説:標的型攻撃は不特定多数を対象とせず、特定組織・個人の機密情報窃取等を目的に、執拗に攻撃を仕掛ける。長期化するとAPT(Advanced Persistent Threat)攻撃に発展し、潜伏期間中に内部偵察や横展開を行う。
-
問24.フィッシング攻撃は正規サービスを装ったメールやWebサイトで利用者をだまし、ID・パスワード等を窃取する攻撃である。
正解:○(正しい)
解説:送信者確認・URL確認・MFAの導入が対策となる。
-
問25.水飲み場型攻撃(Watering Hole)は標的が頻繁にアクセスするWebサイトを改ざんしてマルウェアを仕込み、訪問を待ち伏せする攻撃である。
正解:○(正しい)
解説:業界専門サイトや関連企業のサイトが悪用されやすい。
-
問26.情報セキュリティの3要素(CIA)は Confidence・Identity・Authority の頭文字である。
正解:×(誤り)
解説:誤り。CIAはConfidentiality(機密性)・Integrity(完全性)・Availability(可用性)。
-
問27.完全性(Integrity)とは認可された者が必要時に情報を利用できる性質である。
正解:×(誤り)
解説:誤り。それは可用性の説明。完全性は情報が改ざん・破壊されず正確に保たれる性質。
-
問28.可用性(Availability)とは認可された者だけが情報にアクセスできる性質である。
正解:×(誤り)
解説:誤り。それは機密性の説明。可用性は必要時に情報やシステムを利用できる性質。
-
問29.機密性(Confidentiality)とは情報が改ざん・破壊されない性質である。
正解:×(誤り)
解説:誤り。それは完全性の説明。機密性は認可された者のみがアクセスできる性質。
-
問30.真正性(Authenticity)とは事象や行為が後から否認されないことを保証する性質である。
正解:×(誤り)
解説:誤り。それは否認防止の説明。真正性は主体が主張通りの者・ものであることを確認できる性質。
-
問31.コンピュータウイルスは自己複製機能を持たず、他のプログラムにも寄生しない単純なファイルである。
正解:×(誤り)
解説:誤り。ウイルスは他プログラムに寄生して自己複製する機能を持つ。
-
問32.ワームはホストプログラムに寄生しなければ動作・複製ができないマルウェアである。
正解:×(誤り)
解説:誤り。ワームは独立して動作・自己複製してネットワーク経由で感染拡大する。寄生が必要なのはウイルス。
-
問33.トロイの木馬は自己複製しながら他端末へ感染拡大する特徴を持つ。
正解:×(誤り)
解説:誤り。トロイの木馬は自己複製しない。正常ソフトに偽装して侵入し、内部で悪意動作を行う。
-
問34.ランサムウェアは個人情報を盗み出す目的の専門マルウェアであり、ファイル暗号化機能は持たない。
正解:×(誤り)
解説:誤り。ランサムウェアはファイルを暗号化し復号鍵と引換に身代金を要求するマルウェア。
-
問35.SQLインジェクションはWebページ閲覧者のブラウザで悪意あるスクリプトを実行させる攻撃である。
正解:×(誤り)
解説:誤り。それはXSS(クロスサイトスクリプティング)の説明。SQLインジェクションはWebアプリ経由でDBに不正なSQLを注入する攻撃。
-
問36.XSS(クロスサイトスクリプティング)はWebアプリの入力からSQL文を注入してデータベースを不正操作する攻撃である。
正解:×(誤り)
解説:誤り。それはSQLインジェクションの説明。XSSはWebページに悪意あるスクリプトを埋め込み他ユーザのブラウザで実行させる攻撃。
-
問37.CSRFは正規サイトに似せた偽サイトで利用者をだまして認証情報を窃取する攻撃である。
正解:×(誤り)
解説:誤り。それはフィッシングの説明。CSRFはログイン中ユーザのブラウザから意図しないリクエストを送信させる攻撃。
-
問38.DoS攻撃は多数の感染端末から分散して大量トラフィックを送る攻撃である。
正解:×(誤り)
解説:誤り。それはDDoS攻撃の説明。DoS攻撃は単一または少数の攻撃元から行われる。
-
問39.DDoS攻撃は単一の攻撃元から標的のシステムに過剰負荷をかける攻撃である。
正解:×(誤り)
解説:誤り。それはDoS攻撃の説明。DDoSは分散(Distributed)型で多数の攻撃元から同時に行われる。
-
問40.中間者攻撃(MITM)は特定組織を長期にわたり執拗に狙う標的型攻撃の一種である。
正解:×(誤り)
解説:誤り。MITMは通信の当事者間に攻撃者が割り込み盗聴・改ざんする攻撃。長期執拗な攻撃はAPT攻撃。
-
問41.標的型攻撃は不特定多数を対象としてバラまかれる攻撃である。
正解:×(誤り)
解説:誤り。標的型攻撃は特定の組織や個人を狙う攻撃。不特定多数を対象とするのはバラマキ型のフィッシング等。
-
問42.ゼロデイ攻撃は脆弱性に対するセキュリティパッチ提供から十分な期間が経過した後に行われる攻撃である。
正解:×(誤り)
解説:誤り。ゼロデイ攻撃はパッチが提供される前(猶予日数=0日)に未修正の脆弱性を突く攻撃。
-
問43.サプライチェーン攻撃は標的組織のシステムに直接侵入を試みる攻撃で、第三者を経由しない。
正解:×(誤り)
解説:誤り。サプライチェーン攻撃は取引先・委託先・ソフトウェアベンダ等を経由して標的組織を攻撃する手法。
-
問44.ソーシャルエンジニアリングは脆弱性を突く高度な技術的攻撃を指す。
正解:×(誤り)
解説:誤り。ソーシャルエンジニアリングは技術ではなく人間心理を操作してパスワード等を聞き出す攻撃手法。
-
問45.APT攻撃は短期間で一気に大量データを窃取する単発の攻撃である。
正解:×(誤り)
解説:誤り。APT(Advanced Persistent Threat)は長期間にわたり潜伏しながら情報窃取を行う高度で執拗な攻撃。
-
問46.ブルートフォース攻撃はあらかじめ用意した辞書(よく使われる単語)からパスワードを試行する攻撃である。
正解:×(誤り)
解説:誤り。それは辞書攻撃の説明。ブルートフォース攻撃は可能な組合せを総当たりで試行する。
-
問47.辞書攻撃はキーボードで入力できる全ての文字組合せを総当たりで試行する攻撃である。
正解:×(誤り)
解説:誤り。それはブルートフォース攻撃の説明。辞書攻撃は単語リスト(辞書)を用いる。
-
問48.レインボー攻撃は平文のパスワード文字列を順番に比較する攻撃である。
正解:×(誤り)
解説:誤り。レインボー攻撃は事前計算したハッシュ値テーブル(レインボーテーブル)を使ってハッシュから平文を逆引きする攻撃。
-
問49.キーロガーはディスプレイの画面を画像として保存しサーバへ送信する仕組みのマルウェアである。
正解:×(誤り)
解説:誤り。キーロガーはキーボード入力を記録するマルウェア。画面キャプチャは画面ロガー(スクリーンキャプチャ型)の機能。
-
問50.アドウェアは感染端末のファイルを暗号化して身代金を要求するマルウェアである。
正解:×(誤り)
解説:誤り。それはランサムウェアの説明。アドウェアは広告を強制的に表示するマルウェア。
-
問51.情報セキュリティの3要素(CIA)として正しい組合せはどれか。
- ア.認証・認可・監査
- イ.信頼性・追跡性・否認防止
- ウ.機密性・完全性・可用性
- エ.暗号化・認証・バックアップ
正解:ウ.機密性・完全性・可用性
解説:CIAは Confidentiality(機密性)・Integrity(完全性)・Availability(可用性)の3要素。
-
問52.ランサムウェアの特徴として最も適切なものはどれか。
- ア.広告を強制表示する
- イ.ボットネットの一部として動作する
- ウ.キー入力を記録する
- エ.ファイルを暗号化し復号鍵と引換に身代金を要求する
正解:エ.ファイルを暗号化し復号鍵と引換に身代金を要求する
解説:ランサムウェアは暗号化型と画面ロック型があるが、いずれも金銭目的。
-
問53.SQLインジェクション攻撃への最も有効な対策はどれか。
- ア.プレースホルダ(バインド機構)を使用してSQL文を組み立てる
- イ.WAFの設置のみで十分
- ウ.入力フォームを廃止する
- エ.ユーザID/パスワードを長くする
正解:ア.プレースホルダ(バインド機構)を使用してSQL文を組み立てる
解説:プレースホルダはユーザ入力をデータとして扱い、SQL文として解釈しないため根本的な対策となる。
-
問54.XSS(クロスサイトスクリプティング)攻撃への基本的な対策はどれか。
- ア.SQL文の動的生成を禁止
- イ.出力時に文脈に応じたエスケープ処理を行う
- ウ.HTTPSを廃止
- エ.パスワードを定期変更させる
正解:イ.出力時に文脈に応じたエスケープ処理を行う
解説:ユーザ入力を画面表示する際に < > & 等を適切にエスケープして無害化する。CSP適用も補強策。
-
問55.CSRF(クロスサイトリクエストフォージェリ)への有効な対策はどれか。
- ア.パスワードを長くする
- イ.ファイアウォールで全通信を遮断
- ウ.CSRFトークン(ワンタイムの秘密値)をフォームに含めて検証する
- エ.DNS設定を変更
正解:ウ.CSRFトークン(ワンタイムの秘密値)をフォームに含めて検証する
解説:リクエストごとに使い捨てのトークンを発行・検証することで、外部サイトからの偽造リクエストを排除する。
-
問56.APT(Advanced Persistent Threat)攻撃の特徴として適切なものはどれか。
- ア.不特定多数を対象に短期間で実行される
- イ.通信内容を盗聴する技術的攻撃
- ウ.技術を使わず心理を操作する
- エ.特定の標的に対して高度な手法で長期間執拗に続けられる
正解:エ.特定の標的に対して高度な手法で長期間執拗に続けられる
解説:APTは標的特化・高度・執拗(長期潜伏)が特徴で、国家関与の事例もある。
-
問57.ゼロデイ脆弱性とは何か。
- ア.発見されてから修正パッチが提供されるまでの未修正の脆弱性
- イ.パッチ公開後10日以内の脆弱性
- ウ.発見されて1年以上の脆弱性
- エ.存在しない脆弱性
正解:ア.発見されてから修正パッチが提供されるまでの未修正の脆弱性
解説:猶予日数(zero day)が0という意味で、攻撃者が悪用しやすく対策が困難。
-
問58.中間者攻撃(MITM)への有効な対策はどれか。
- ア.ファイアウォールの導入
- イ.TLSによる通信の暗号化と証明書検証の徹底
- ウ.パスワードの定期変更
- エ.アンチウイルスソフトの導入
正解:イ.TLSによる通信の暗号化と証明書検証の徹底
解説:通信を暗号化し、サーバ証明書をクライアント側で検証することで割込みを検知できる。
-
問59.ソーシャルエンジニアリングの代表例はどれか。
- ア.バッファオーバーフロー攻撃
- イ.SQL文の注入
- ウ.電話で身分を詐称し情報を聞き出す
- エ.暗号鍵の総当たり
正解:ウ.電話で身分を詐称し情報を聞き出す
解説:技術ではなく心理操作で情報を引き出す手法。教育と確認手順が対策となる。
-
問60.フィッシング攻撃への対策として最も適切なのはどれか。
- ア.パスワードを記憶する
- イ.HTMLメールの表示を必ず有効にする
- ウ.メールを全て自動受信する
- エ.送信者の偽装を疑い、URLや送信元を確認・公式サイトに直接アクセスする
正解:エ.送信者の偽装を疑い、URLや送信元を確認・公式サイトに直接アクセスする
解説:メール本文のリンクではなく、ブックマークや公式アプリから正規ページへ直接アクセスする。
-
問61.水飲み場型攻撃(Watering Hole)の説明として適切なものはどれか。
- ア.送信者を偽装したメールで添付を開かせる
- イ.標的が頻繁に訪れるWebサイトを改ざんし、訪問を待ち伏せて感染させる
- ウ.SQL文を注入する
- エ.総当たりでパスワードを試行する
正解:イ.標的が頻繁に訪れるWebサイトを改ざんし、訪問を待ち伏せて感染させる
解説:水飲み場型攻撃は、標的が頻繁に訪れるWebサイトを改ざんし、標的の訪問を待ち伏せてマルウェアに感染させる攻撃。送信者を偽装したメールで添付を開かせるのは標的型メール攻撃で別物。
-
問62.ビジネスメール詐欺(BEC)の典型的な手口はどれか。
- ア.Webサイトを改ざんしてマルウェアを仕込む
- イ.経営層・取引先を装ったメールで送金指示等を実行させる
- ウ.パスワード辞書で総当たり
- エ.通信を盗聴して暗号鍵を窃取
正解:イ.経営層・取引先を装ったメールで送金指示等を実行させる
解説:BECは企業の担当者をだまし送金を実行させる詐欺。多要素確認・電話確認等が対策。
-
問63.ボットネットの説明として正しいものはどれか。
- ア.1台の高性能サーバ
- イ.パスワード辞書のデータベース
- ウ.攻撃者が遠隔制御する多数の感染端末で構成されるネットワーク
- エ.暗号化通信の総称
正解:ウ.攻撃者が遠隔制御する多数の感染端末で構成されるネットワーク
解説:DDoS・スパム配信・暗号資産マイニング等に悪用される。
-
問64.ファイルレスマルウェアの特徴はどれか。
- ア.ハードウェアを物理破壊する
- イ.必ず.exeファイルとして配布される
- ウ.Webブラウザでのみ動作する
- エ.ディスクに実行ファイルを残さずメモリ上で実行される
正解:エ.ディスクに実行ファイルを残さずメモリ上で実行される
解説:正規ツール(PowerShell等)を悪用する手法もあり、従来のシグネチャ型対策で検知困難。
-
問65.ドライブバイダウンロード攻撃の説明はどれか。
- ア.利用者がサイトを訪問しただけで(クリック等なしに)マルウェアが自動ダウンロード・実行される
- イ.DVDからダウンロードする
- ウ.車から無線で攻撃する
- エ.クラウド経由でダウンロードする
正解:ア.利用者がサイトを訪問しただけで(クリック等なしに)マルウェアが自動ダウンロード・実行される
解説:ブラウザやプラグインの脆弱性を悪用する。最新版維持で対策。
-
問66.パスワードリスト攻撃とは何か。
- ア.パスワードに記号を必ず含めるよう強要する仕組み
- イ.他サービスから漏洩したID・パスワードの組合せを別サービスにも試す攻撃
- ウ.パスワード一覧を作成する作業
- エ.暗号鍵のリストを管理する仕組み
正解:イ.他サービスから漏洩したID・パスワードの組合せを別サービスにも試す攻撃
解説:パスワード使い回しを悪用する。多要素認証で被害を抑えられる。
-
問67.リバースブルートフォース攻撃の特徴はどれか。
- ア.暗号鍵を総当たりする
- イ.同一IDに対して複数パスワードを試行する
- ウ.特定のパスワードを固定し、ID側を総当たりで試行する
- エ.管理者権限を直接奪う
正解:ウ.特定のパスワードを固定し、ID側を総当たりで試行する
解説:通常のブルートフォースとは逆方向の試行。よく使われる弱パスワードが狙われる。
-
問68.ディレクトリトラバーサル攻撃の説明はどれか。
- ア.SQL文を注入する
- イ.ファイル名を順番に列挙する
- ウ.DNS情報を改ざんする
- エ.相対パス(../等)を使って公開外のファイルにアクセスする
正解:エ.相対パス(../等)を使って公開外のファイルにアクセスする
解説:Webサーバ側で入力パスを正規化・サニタイズして対策する。
-
問69.バッファオーバーフロー攻撃で発生し得る被害はどれか。
- ア.確保領域を超える書込みで任意コードが実行される可能性がある
- イ.通信が遅くなるだけ
- ウ.ファイル名が変更される
- エ.DNSレコードが書き換わる
正解:ア.確保領域を超える書込みで任意コードが実行される可能性がある
解説:C/C++等メモリ管理が必要な言語で問題化しやすい。境界チェック・スタック保護で対策。
-
問70.セッションハイジャックとはどのような攻撃か。
- ア.セッションを強制終了させる
- イ.利用者のセッションIDを奪取してなりすましを行う
- ウ.新規セッションを作成する
- エ.セッションタイムアウトを延長する
正解:イ.利用者のセッションIDを奪取してなりすましを行う
解説:HTTPS化・SecureFlag・短いタイムアウト等で対策する。
-
問71.RAT(Remote Access Trojan)の主な目的はどれか。
- ア.広告を表示する
- イ.ファイルを圧縮する
- ウ.攻撃者が感染端末を遠隔操作するためのバックドアを設置する
- エ.データのバックアップを取る
正解:ウ.攻撃者が感染端末を遠隔操作するためのバックドアを設置する
解説:標的型攻撃で侵入後の継続的支配・データ窃取に使われる。
-
問72.DDoS攻撃でよく使われる手法はどれか。
- ア.巨大ファイルを送りつける
- イ.ファイアウォールの無効化
- ウ.DNSサーバの停止
- エ.ボットネットによる大量同時アクセス
正解:エ.ボットネットによる大量同時アクセス
解説:近年はリフレクション攻撃・アンプ攻撃も併用される。
-
問73.メールヘッダインジェクションとはどのような攻撃か。
- ア.メール送信機能の入力欄に改行を含むデータを注入し、ヘッダを改ざん・追加する
- イ.メールサーバを物理破壊する
- ウ.ヘッダから個人情報を抜き取る
- エ.HTMLメールを送信する
正解:ア.メール送信機能の入力欄に改行を含むデータを注入し、ヘッダを改ざん・追加する
解説:問い合わせフォーム等で入力検証していないと、勝手にCcを追加されてスパム送信される等の被害がある。
-
問74.クロスサイトリクエストフォージェリ(CSRF)攻撃で起きる典型的な被害はどれか。
- ア.パスワードがハッシュ化されない
- イ.ログイン中ユーザの権限で意図しない操作(送金・退会等)が実行される
- ウ.DNSが書き換わる
- エ.通信が暗号化されない
正解:イ.ログイン中ユーザの権限で意図しない操作(送金・退会等)が実行される
解説:CSRFトークン・SameSite Cookie・Refererチェック等で対策する。
-
問75.スパムボット感染端末の特徴として最も適切なものはどれか。
- ア.ディスプレイが赤くなる
- イ.端末が物理的に動かなくなる
- ウ.端末から大量のスパムメールが自動送信される
- エ.ハードウェアの保証が切れる
正解:ウ.端末から大量のスパムメールが自動送信される
解説:感染するとボットネットの一部となり、攻撃者の指令でスパム配信や攻撃に加担する。